Bulletin d'alerte Debian

DSA-109-1 faqomatic -- Vulnérabilité des éléments dynamiques

Date du rapport :
13 février 2002
Paquets concernés :
faqomatic
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2002-0230.
Plus de précisions :

En raison du non-échappement d'un code HTML, Faq-0-Matic renvoyait des scripts non vérifiés aux navigateurs. Avec quelques réglages, ceci permettait à un assaillant de dérober les témoins de connexions (« cookies ») d'un des modérateurs de Faq-O-Matic ou le témoin de l'administrateur.

La vulnérabilité des éléments de scripts dynamiques est un type de problème qui permet à une personne malintentionnée de faire exécuter par d'autres personnes des Javascripts dans leurs navigateurs. Le JavaScript est exécuté sur la machine de la victime et se situe dans le contexte d'un site web exécutant le manageur de la Foire Aux Questions de Faq-O-Matic.

Ce problème a été corrigé dans la version 2.603-1.2 pour la distribution Debian stable et la version 2.712-2 pour l'actuelle distribution testing/unstable.

Nous vous recommandons de mettre à jour votre paquet faqomatic si vous l'avez installé.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.dsc
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/dists/stable/updates/main/binary-all/faqomatic_2.603-1.2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.